Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 

Microsoft hat ein außerplanmäßiges Update für Windows veröffentlicht, mit dem mehrere ungültige SSL-Zertifikate gesperrt werden. Dabei geht es um neun SSL-Zertifikate, die vor kurzem bei dem Herausgeber Comodo entwendet wurden.

Die Updates stehen für Windows XP, Vista, Windows 7 sowie Server 2003 und 2008 zur Verfügung. Seit der Nacht zum 24. März 2011 werden sie auch per Windows-Update verteilt. Nach der Installation ist kein Neustart des Rechners erforderlich. Weitere Informationen finden sich in einem Security Advisory von Microsoft.

Nach Angaben von Microsoft sind die folgenden Domains von den gestohlenen SSL-Zertifikaten betroffen: login.live.com, mail.google.com, www.google.com, login.yahoo.com (drei Zertifikate), login.skype.com, addons.mozilla.org und Global Trustee.

Kriminelle können die gestohlenen SSL-Zertifikate dazu nutzen, um Nutzer auf nachgemachte Webseiten umzuleiten, um etwa an persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Da der Browser ein gültiges Zertifikat erkennt, wird kein warnender Hinweis ausgegeben.

Bei Mozilla ist die Situation besonders prekär, weil Firefox so auch vermeintlich sichere Plugins untergeschoben werden können. Der Browserhersteller hat aber bereits reagiert und Updates für Firefox 3.5 und 3.6 bereitgestellt. Firefox 4 enthält die Aktualisierung ebenfalls schon. Google hat seinen Browser Chrome 10 ebenfalls schon aktualisiert.

Nach Angaben von Comodo wurde das Passwort eines Wiederverkäufers von Comodo-Zertifikaten von noch unbekannten Dritten illegal verwendet, wodurch gültige SSL-Zertifikate generiert werden konnten. Einen Zugriff auf die Infrastruktur von Comodo oder auf die Root-Keys soll es aber nicht gegeben haben.

SeitenURL :
Qr Code